Moin Robert,

StartSSL hat den Private Key niemals erhalten von uns. Da habe ich wohl etwas durcheinander gebracht. Aber sie haben trotzdem eine Passphrase verlangt für das Zertifikat. Was sie damit angestellt haben, weiß ich nicht. Vielleicht kann man damit die Echtheit des Zertifikates später nochmal feststellen?

Jain. Das ist ein challenge password, ein shared secret zwischen dir und StartSSL, dass im CSR eingebettet wird (StartSSL modifiziert das CSR stark). Mit dem Zertifikat hat das so erstmal nichts zu tun. Das kann der SSL issuer benutzen um dich zu einem späteren Zeitpunkt zu authentifizieren. Die meisten issuer benutzen es, um dich zu authentifizieren wenn sie dir das Cert neu ausstellen müssen, etwa weil du es verloren hast.

Allerdings schreibt Postfix jetzt "Untrusted TLS connection established".

Das heisst nur, dass eine TLS-Verbindung aufgebaut wurde mit einem Zertifikat dessen Issuer nicht bekannt ist, etwa weil du kein CA-Bundle angegeben hast oder weil er nicht im CA-Bundle enthalten ist. Siehe auch smtp_tls_CAfile bzw smtp_tls_CApath.

LG,
 CK